Mehr Sicherheit durch mehr Pflichten, oder?!

Laut Bundesregierung verbessert das IT-Sicherheitsgesetz den Schutz der Bürger und der Unternehmen im Internet. Das Ziel des Gesetzes ist nichts weniger, als „die digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen.“ Um das zu erreichen stärkt das Gesetz  die Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die des Bundeskriminalamtes (BKA). Zudem werden Unternehmen besondere Pflichten auferlegt um Sicherheitslücken besser und schneller schließen zu können.

Mit den durch das Gesetz geregelten Maßnahmen sollen weitreichende, gesellschaftliche Folgen, die ein Ausfall oder eine Beeinträchtigung kritischer Infrastrukturangebote nach sich ziehen könnte, verhindert oder abgemildert werden. Wichtiger Bestandteil des Gesetzes ist die Verpflichtung sogenannter „Betreiber kritischer Infrastrukturen“ (KRITIS) auf ein Mindestmaß an IT-Sicherheit. Die KRITIS trifft zudem eine Pflicht zur Meldung von IT-Sicherheitsvorfällen. Bei einer Missachtung drohen Bußgelder. Auch Hard- und Software-Hersteller trifft eine Mitwirkungspflicht bei der Beseitigung von Sicherheitslücken.

Insbesondere die Frage danach, wer ein KRITIS im Sinne des IT-Sicherheitsgesetzes ist, lässt sich nicht sofort und einzig anhand des Gesetzes beantworten. Betroffen sind jedenfalls Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen (vgl.: BT-Drucksache 18/4096, Seite 23). In Kürze soll eine Verordnung mehr Klarheit bringen und den Kreis konkreter fassen. Ob im Einzelnen also eine KRITIS-Einstufung gilt, wird erst nach Verabschiedung der Rechtsverordnung feststellbar sein. Laut Gesetzesbegründung sollen insgesamt nicht mehr als 2.000 Unternehmen betroffen sein; dieser Schätzung ist mit Blick auf die bestehenden Unklarheiten aber mit großer Vorsicht zu begegnen.

Die oben genannten Pflichten lassen nach der Bedeutung des Begriffes „Stand der Technik“ fragen. Das ist ein unbestimmter Rechtsbegriff, den das BSI mit folgender Definition zu fassen sucht: 

 „Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben.“

Letztlich werden also keine konkreten technischen Maßnahmen vorgegeben. Damit soll der Gefahr vorgebeugt werden, veraltete Maßnahmen gesetzlich vorzuschreiben. Folglich müssen die Sicherheitsvorkehrungen auf dem Stand der Technik gehalten und, bei Bedarf, kontinuierlich erneuert werden.

Stellt das BSI einen Verstoß gegen die Pflichten aus dem IT-Sicherheitsgesetz fest – das betrifft insbesondere die Pflicht zur Einrichtung angemessener technischer und organisatorischer Maßnahmen zum Schutz von IT-Systemen und Kundendaten – dann  drohen Bußgelder von bis zu 50.000 € (vgl.: Art. 4 IT-Sicherheitsgesetz i.V.m. § 16 Abs. 2 TMG, Art. 5 IT-Sicherheitsgesetz i.V.m. 149 Abs. 2 TKG).

Die Pflichten aus dem IT-Sicherheitsgesetz gelten ab dessen In-Kraft-Treten, also seit Ende Juli. Eine Ausnahme gilt gemäß Art. 1 Nr. 7: Demnach wird den Betreibern kritischen IT-Infrastrukturen eine Umsetzungsfrist von 2 Jahren eingeräumt. Erst nach Ablauf dieser Frist ist hier also auch mit Bußgeldern zu rechnen.

Betroffene Unternehmen sollten dem Stand der Technik entsprechende, angemessene technische und organisatorische Sicherheitsmaßnahmen  – wenn das noch nicht erfolgt ist – im eigenen Interessen so schnell wie möglich implementieren und ergreifen.

Unternehmen, bei denen noch nicht klar ist, ob sie zum Adressatenkreis gehören, sollten die Verabschiedung der anstehenden Verordnung zumindest im Auge behalten, um dann unmittelbar reagieren zu können.

Schlussendlich treffen die Verpflichtungen aus dem IT-Sicherheitsgesetz nahezu jeden Website-Betreiber: Diese müssen seit Ende Juli und auch in Zukunft aktuelle Updates zeitnah installieren. Dazu kann natürlich vertraglich der Provider verpflichtet werden, juristisch haftet aber der Betreiber der jeweiligen Webseite und eventuelle Bußgelder von bis zu 50 000 Euro treffen ihn persönlich. Zwar sind solche Strafzahlung in der Praxis unüblich, zu einem Problem könnte sich hier  jedoch die Rechtsprechung entwickeln: Sollten die Gerichte die neue Regelung als eine sogenannte Marktverhaltensregel einstufen – diese dienen auch dem Schutz des fairen Wettbewerbs – dann könnten Mitbewerber missliebige Konkurrenz künftig beim Fehlen von Updates und Patches kostenpflichtig abmahnen. Es droht somit eine neue Abmahn-Welle und es könnte Jahre dauern, bis die Gerichte eine gefestigte Rechtsprechung hierzu entwickeln.